네덜란드의 보안 전문가들, 소셜 엔지니어링으로 테슬라 훔쳐내
테슬라 측 “본질은 소셜 엔지니어링 공격... 업데이트로 방어 가능”

[보안뉴스 문가용 기자] 노르웨이의 보안 전문업체인 프로몬(Promon)이 테슬라(Tesla)에서 제조한 차량들을 안드로이드 애플리케이션으로 추적해 훔쳐내는 방법을 발견해냈다. 그리고 이를 영상으로 공개했다. 해당 영상 속에서 프로몬의 연구원들은 표적이 된 사용자의 로그인 정보를 취득하는 방법과, 그 정보를 활용해 차량을 추적하고 심지어 ‘뺏어 타는’ 방법을 상세히 보여준다. 영상은 여기서 볼 수 있다.


영상에서 소개된 공격이 성공하려면 몇 가지 조건이 필요하다. 그 중 하나는 피해자가 자신의 모바일 핸드폰에 악성 앱을 설치해야 한다는 것이다. 즉, 어떤 식으로 표적을 속일 것인지가 이 공격의 핵심이라고 볼 수 있다. 영상 속에서 공격자는 무료 햄버거를 준다며 피해자를 꼬드겼다. 표적형 공격을 실행할 시, 피해자의 취향이나 성향을 미리 파악하고 있다면 이 단계가 크게 어렵지는 않을 수 있다.

테슬라의 모바일 앱은 HTTP와 오오스(OAuth) 토큰을 사용하여 테슬라 서버와 통신을 한다. 오오스 토큰은 90일 동안만 유효한데, 이 기간 동안은 사용자가 사용자 이름이나 암호를 입력하지 않고도 앱을 실행할 수 있다. 프로몬의 연구원들이 노린 것은 바로 이 지점이다. 오오스의 토큰이 앱의 샌드박스 폴더에 평문으로 저장된다는 것이다. 모바일 기기에 접속을 성공하게 되면 원격의 공격자가 이 데이터를 간단하게 훔칠 수 있다. 이를 바탕으로 공격자들은 차의 위치를 추적, 파악하고 잠금장치도 해제하여 키레스 드라이빙(keyless driving)까지도 구현할 수 있게 된다.

결국 사용자를 속여서 테슬라 앱을 조작하는 기능을 가진 멀웨어를 설치만 하게 하면 이 모든 과정을 막힘없이 행할 수 있게 된다. 이 멀웨어는 타월루트(TowelRoot) 취약점을 악용하는 것으로, 이 취약점은 공격자에게 루트 권한을 주는 안드로이드 체제 자체의 약점으로 유명하다. 갓레스(Godless)라는 안드로이드 전용 멀웨어가 이 취약점을 노리는 것으로 잘 알려져 있다.

이렇다는 건 공격 표적이 이러한 취약점을 가지고 있는 안드로이드 운영 체제를 사용 중에 있어야 한다는 뜻이다. 즉, 멀웨어를 사용자가 설치해야 한다는 것 외에도 전제조건이 더 있다는 것이다. 전제조건이 최소 두 개나 필요한 공격이라면 성공 가능성이 그리 크지 않다고 볼 수 있지만, 프로몬은 오히려 ‘실패 가능성이 크게 높지 않다’는 입장이다. 공격 표적을 속이는 건 어렵지 않은 일이며, 안드로이드 사용자 대부분 해당 타월루트 취약점에 노출되어 있기 때문이다.

아직 프로몬 측은 기술적으로 자세한 정보를 공개하지는 않고 있다. 테슬라가 현재 웹 사이트, 모바일 앱, 차량 하드웨어의 취약점들을 발견하는 사람들에게 최대 1만 달러를 지급하는 버그바운티를 실시하고 있기 때문이다. 테슬라 차량이 원격에서 해킹 성공당할 수 있다는 게 입증된 것은 이번이 처음은 아니다. 몇 주 전만 해도 중국의 기술 기업인 텐센트(Tencent)에서 테슬라 모델 S를 원격에서 통제하는 데에 성공시킨 바 있다.

테슬라는 “테슬라에서 만든 차량이나 앱에만 특정된 취약점이 아니”라며 “모바일 기기가 해킹당했을 때 일어나는 수많은 시나리오 중 하나일뿐”이라고 해당 영상 및 보고서에 대해 설명했다. “이번 영상을 통해 공개된 내용은 단지 소셜 엔지니어링 공격을 통해 할 수 있는 다양한 추가 공격 중 하나에 대한 것이며, 모바일 OS를 최신화시키면 해결될 수 있는 문제입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>